Российских специалистов по автоматизации бизнеса атакует BrockenDoor

Татьяна Никитина 02 Декабря 2024 - 18:39

Корпорации

Государство

Лаборатория Касперского

Таргетированные атаки

...

Российских специалистов по автоматизации бизнеса атакует BrockenDoor

При разборе атак на российские компании, специализирующиеся на внедрении софта для автоматизации бизнеса, эксперты «Лаборатории Касперского» выявили неизвестный ранее бэкдор. Вредонос, нареченный BrockenDoor, распространяется в основном по имейл.

В рамках данной кампании засветились и другие зловреды, позволяющие получать удаленный доступ к системам и выкачивать из них конфиденциальные данные, — Remcos RAT и DarkGate.

Целевая атака, как правило, начинается с рассылки поддельных писем от имени реального разработчика продуктов для автоматизации бизнес-процессов. Специалиста по внедрению, настройке, сопровождению такого софта просят ознакомиться с ТЗ, приложенным архивным файлом.

В архиве может скрываться исполняемый файл. Чтобы выдать его за безвредный, злоумышленники подменяют имя и расширение по методу Right-to-Left Override (RLO).

В других случаях содержимое было богаче за счет включения двух маскировочных документов PDF. Цепочку заражения запускает третий файл, вредоносный LNK.

Проникнув в систему, новобранец BrockenDoor собирает о ней информацию (имя пользователя и компьютера, версия ОС, сетевые адаптеры, запущенные процессы, файлы на рабочем столе) и отправляет на свой сервер.

В ответ он может получить одну из следующих команд:

изменить интервал опроса C2 (по умолчанию чуть более 5 секунд);
записать на диск и запустить полученный с C2 файл (варианты запуска: функция С/C++ system, API-функции ShellExecuteA, CreateProcessA, WinExec);
запустить CMD или Powershell из командной строки;
удалить себя из системы.

Один из найденных семплов также умел выполнять команду на загрузку и запуск клиента Tuoni — появившегося в этом году инструмента, помогающего отрабатывать навыки постэксплуатации, в том числе в ходе групповых киберучений.

«Изначально эта кампания привлекла наше внимание из-за нестандартного использования RLO, — рассказывает эксперт Kaspersky Артем Ушков. — Злоумышленники распространяли вредоносные файлы в архивах, хотя популярные архиваторы не обрабатывают символ RLO и отображают корректное название файла и расширение. Пока мы не можем отнести эти атаки к какой-то известной группе, но будем внимательно следить за развитием кампании».

Следующая главная новость »

Информационные технологии 2025. Подводим итоги года на эфире AM Live.
Присоединяйтесь! »

Яков Шпунт 24 Декабря 2025 - 12:01

Соответствие законодательству РФ Общее Соответствие требованиям регуляторов

Большая четверка предложила API для маркировки звонков

Билайн, МегаФон, МТС и Т2 разработали единый набор API для межоператорского взаимодействия при маркировке звонков от организаций. Ранее унифицированных правил такой маркировки не существовало. Принципиально важно, что новые API будут предоставляться бесплатно — тогда как раньше маркировка одного звонка, по оценкам издания, обходилась в среднем в 30 копеек.

О разработке единого API сообщили «Ведомости» со ссылкой на представителей операторов связи.

«Разработка открытого API ведётся для автоматизации обмена данными как между операторами „большой четвёрки“, так и с операторами фиксированной связи. Это позволит повысить скорость и точность взаимодействия, а также снизить издержки для всех участников рынка», — прокомментировал представитель МегаФона.

В Т2 отметили, что внедрение API ускорит обмен информацией между операторами и клиентами, а также позволит сократить количество ошибок, связанных с человеческим фактором. В МТС, в свою очередь, подчеркнули, что техническая часть API уже доступна всем операторам, чтобы они могли заранее оценить условия и сложность внедрения на своей стороне.

По мнению экспертов телеком-рынка, появление открытых API позволит небольшим операторам и корпоративным клиентам подключаться к системам маркировки напрямую, без посредничества «большой четвёрки».

Ранее крупных игроков критиковали за навязывание платных услуг — в том числе за соединение, а не только за фактически состоявшийся дозвон. Также высказывались претензии к снижению процента дозвона при использовании маркировки.

Норма о маркировке телефонных вызовов была окончательно принята 1 апреля в составе первого пакета мер по противодействию телефонному мошенничеству и вступила в силу с 1 сентября.

Как пояснили изданию в Минцифры, нововведение направлено на защиту граждан от телефонного мошенничества и спама, а также на повышение прозрачности коммуникаций между бизнесом и клиентами.

Информационные технологии 2025. Подводим итоги года на эфире AM Live.
Присоединяйтесь! »